- Gần đây, một làn sóng tấn công mới đã được phát hiện nhằm vào các cơ quan chính phủ Iran được cho là do nhóm BackdoorDiplomacy thực hiện.
BackdoorDiplomacy (hay còn gọi là Playful Taurus, APT15) bắt đầu một chiến dịch với phần mềm độc hại được nâng cấp thêm và thêm các công cụ mới trong chiến dịch. Trong làn sóng gần đây, nhóm có khả năng đã xâm nhập vào các mạng của chính phủ Iran thuộc 4 tổ chức khác nhau, trong đó có Bộ Ngoại giao.
Ảnh minh họa |
Nhóm đã chuyển dịch vụ lưu trữ của các mạng này qua cơ sở hạ tầng C&C độc hại và sử dụng chúng để thiết lập kết nối với phần mềm độc hại. Nhóm đã lạm dụng các chứng chỉ liên quan đến hoạt động hết hạn thuộc về cơ quan bị nhằm mục tiêu để tránh bị phát hiện.
BackdoorDiplomacy sử dụng các biến thể mới của backdoor có tên là Turian, được sử dụng vào tháng 6 năm 2021. Các nhà nghiên cứu đã tìm thấy một mẫu của biến thể mới hơn được tích hợp VMProtect có chứa chức năng mã hóa API và chức năng giải mã XOR.
BackdoorDiplomacy liên tục phát triển các TTP của nó trong chiến dịch gián điệp. Hơn nữa, nhóm còn thường xuyên triển khai TTP tương tự với các công cụ được sửa đổi để nhằm mục tiêu vào các tổ chức chỉnh phủ và ngoại giao khác trên khắp Bắc và Nam Mỹ, Châu Phi, Trung Đông.
PV